Ezelőtt tíz-húsz évvel nem volt könnyű kenyér lopásból és betörésből élni. El kellett menni fizikailag az adott ingatlanhoz, be kellett törni, el kellett szállítani a lopott árut, azt töredékáron el kellett adni, csupa nehézség és lebukási esély.

Ma már nincs ilyen nehéz helyzetben egy bűnöző, bárkit megkopaszthat úgy az online térben, hogy fel sem áll a fotelből, a lopott pénzt számlákon átutalgatva majd kriptóba váltva még a nyomait is el tudja tüntetni.

Nem véletlen, hogy mindenhol meredeken esik a vagyon elleni bűncselekmények száma, legalábbis a fizikai cselekményeké, mint autólopás, betörés és hasonló bűnesetek száma. (Csak a példa kedvéért, tizedannyi autót sem lopnak el ma Magyarországon, mint ezelőtt 10-15 éve.)

Gábor Németországban él és úgy lett egy csalás áldozata, hogy semmit nem csinált. Németországban is egy díjlehíváshoz elég tudni az ügyfél/áldozat bankszámlaszámát és nevét, ha ez megvan, bármilyen cég gond nélkül bármilyen összeget lehívhat. Sok webáruháznál lehet így fizetni, megadod ezt a név-számlaszám kettős adatot és kész is vagy, ők lehívják a számládról a pénzt. Ezek sajnos nem túl titkos adatok, miután mindent, a gyerek menzájától az edzőtermi bérletig így kell fizetni, bárki bárhol hozzáférhet ezekhez az adatokhoz.

Annyi a "biztonság" a rendszerben, hogy az ügyfél nyolc hétig, ha észreveszi, visszahívhatja a pénzt. Azonban ilyenkor a másik oldal zokon véve, hogy a leszállított termék ellenértékét az ügyfél visszahívta, behajtó cégnek adja el a követelést. Ezért ha ártatlanul, egy csaló által lett beterhelve a számlád, akkor utána harcolhatsz a behajtócéggel szemben, hogy nem, nem te rendelted azt a terméket a webshopban és nem te fizettél elő arra a szolgáltatásra.

A legnagyobb problémát a Paypal okozza Németországban, mert minden ellenőrzés nélkül teljesíti ezeket a kéréseket.

Az egész egy agyrém, egész egyszerűen elképesztő, hogy egy ilyen sérülékeny, ilyen könnyen kijátszható rendszer egyáltalán elérhető egy fejlett országban. Gábor csak úgy tudott megszabadulni a további visszaélésektől, hogy felmondta a bankszámláját és reménykedhet, hogy az új számlaszám már nem kerül a csalók kezébe.

(Érdemes lehet egy külön számlát csak ezért fenntartani, amire kézzel utalgatsz bizonyos összegeket, bár 50-100 eurós lehúzásoktól ez sem ment meg. Ha van esze a csalónak, kis összegekkel terhelteti a számládat, de sokáig, kevés ember szokta egyenként végignézni, mit hol és mennyiért költött. Nem is könnyű ezt megtenni, mert ha vásároltál egy pékségben vagy webáruházban, egy számodra tök ismeretlen, jellegtelen név jelenik meg a bankszámládon, hogy költöttél 18,91 eurót egy noname Kft-nél, ami azt a pékséget vagy webáruházat üzemelteti. Egyébként nagyon idegesítő lehet, hogy mind az egyénnek, mind a szolgáltatónak át kell vizslatnia a számláját, hogy valaki ok nélkül nem terhelte-e be/nem hívott-e vissza egy két hónappal ezelőtti fizetést.)

Az ügy egyelőre minket nem érint, de egyrészt sok olvasó van Nyugat-Európából (egyre több sajnos), másrészt ki tudja, mit hoz itt a holnap. Ezért írok róla.

Következzen Gábor levele:

PayPal és társai által okozott internetes csalások

A SEPA övezetben az azonnali átutalási megbízások (SEPA Lastschrift) vagy a tartós megbízások (SEPA Mandátumok) engedélyezéséhez nem szükséges ügyfél előzetes jóváhagyása a banknál. A SEPA működéséből adódóan a szabályok fordítottak: egy IBAN és név párossal a rendszerben a „beszedési” oldal indíthat egy átutalást, amit az ügyfél 8 hétig bármikor törölhet. (visszaélés esetén akár 1 évig is.) Ezért a bankrendszer ezt nem tekinti rizikónak az ügyfél számára.

Németországban gyakorlatilag minden általános fizetés, ami rezsit vagy családot érint, alap átutalási megbízással történik. Szolgáltatók felé rezsi, gyerekeknek különböző felkészítők, tanfolyamok, nyelvi kurzusok, óvodai és iskolai étkezés, napközi. Sok szolgáltatónál nincs más lehetőség, nem tudsz te utalni vagy mással fizetni. Ilyenkor egy formanyomtatványon leírod az adataidat: név, cím, banki adatok, aláírás. Ez biztosítja a szolgáltatót, hogy ha vissza is hívnád az átutalást, behajtják rajtad. Ezért a név és IBAN páros nem titkos adat, akár címmel együtt sem. GDPR ide vagy oda, ezek az adatok ott vannak például egy edzőteremben papíron a pult alatt.

SEPA „levonást” a számládról magánember nem indíthat, de intézmények és bárki, akinek van ún. Gläubiger-ID-ja és ezzel regisztrált a SEPA rendszerben, indíthat. Ez pedig visszaélési forrás lehet.

A neten sok webshopban tudsz vásárolni SEPA átutalással (SEPA Lastschrift). Nagy szolgáltatóknak van saját Gläubiger-ID-juk és indíthatnak ilyen beszedést. Például légitársaságoknál, ahol a termék eleve névhez kötött, nagy visszaéléseket nem nagyon lehet csinálni. De a PayPal és társai beállnak a webshopok mögé és a saját Gläubiger-ID-jukkal indítják a tranzakciót. Ebből sem lenne probléma egy regisztrált webshopos és saját PayPal fiókos vásárlásnál, mert ott van 2 lépcsös azonosítás.

Azonban azoknál a webshopoknál, amelyek engedik a vendégfiókos (regisztráció nélküli) vásárlást, a PayPal is engedni fogja. Így ha valaki vissza akar élni az IBAN és név adataiddal, vendégfiókos vásárlásként a PayPal simán átengedi. A webshop szempontjából ez biztonságos, mert a PayPal soklépcsős azonosítást és adatellenőrzést ígér. A PayPal viszont semmi mást nem csinál, csak a név és IBAN párost továbbítja a bank felé, aki elfogadja. Elfogadja, mert az adatok helyesek (és nem titkosak vagy védettek, mint egy hitelkártya esetén). Nincs kétlépcsős azonosítás, sőt az ügyfelet sem értesítik. Megjelenik egy levonás a számládon. Mindez azért, mert az ügyfél 8 hétig bármikor vissza tudja vonni a tranzakciót.

Az internetes csalók profin dolgoznak, mert ha van IBAN, név, esetleg cím, könnyű egy emailt találni. Nálam a munkahelyem céges emailjét használták fel. A csalás lényege, hogy minél jobban leutánozzák az ügyfél profilt. Ha visszahúzod a tranzakciót, a bank mossa kezeit, de a PayPal nem! Vendégfiókos vásárlásnál nem lehet elérni a PayPalt, csak folyamatosan küldözgeti a fizetési felszólításokat. A PayPalnak megvan az üzleti terve erre. Van egy email, ahova elküldheted a felszólítást, ha nem a saját profilodból érkezett. Nekem visszaigazolták, hogy nincs PayPal profilom ezen az email címen, és minden emailt a PayPaltól erre a céges emailre ignoráljak vagy töröljek. De közben nem állítják le a beszedést. Jönnek a felszólítások, és a végén kiadják egy követeléskezeléssel foglalkozó ügyvédi irodának. A csalás lényege, hogy amíg te pénzt és időt áldozol védeni magad, addig indítanak több más tartós beszedési megbízást, és a káoszban sok kis vásárláson keresztül lehúzzák a rendszert. Mivel a jogi tanácsadás és ügyvéd drága, sokan inkább kifizetik ezeket a tételeket a PayPalnak.

Nálam először egy 50 eurós tétel jelent meg a számlámon. Jött is egy termék a nevemre, de egy közeli más címre, csak a postás áthozta (elvileg vissza kellett volna küldje). Így vettem észre időben, és tiltottam a számlám. Ezért az időközben indított 10+ tartós beszedési megbízás már nem tudott lefutni. A történetben az a csavar, hogy a PayPal küldözgetett értesítéseket és később felszólításokat a céges emailre, de phishingként kezeltem és töröltem az elején. Ha nem német PayPal accountod van, hanem például Magyarországon regisztrált, akkor teljesen más emailről jönnek a paypal.de-s levelek es phising-nek tűntek az elején.

Én tiltottam és végül megszüntettem ezt a bankszámlám, mert a bank sem tudott sokat kezdeni az ügyben. Jeleztem a banknak, és később „személyazonosság lopásként” kezelték, rendőrségi feljelentésem is lett. Mondván, hogy ha van név, cím, banki adatuk a csalóknak, bármi mást is indíthattak, amit még nem látok. Ennek ellenére, most pedig a követeléskezelő kopogtat nálam. Céges emailen és van pontos cím adata is, ami ijesztő. A szépséghiba csak annyi, hogy ezt a követelést nem az én nevemen követelik. Ezt egyelőre nem értem, miért és hogy jön képbe egy másik név. A háttérben lehet, hogy a webshop jóváírt valamit a csalóknak valami másik kamu profilra, nem tudom. Épp azon gondolkodom, mit csináljak. Fizessem ki a most már 80 eurós tételt, és akkor nem kell jogászkodni, vagy töltsek még tovább sok időt vele. Valószínűleg ez lesz, mert a követelés nem az én nevemre jött.

A helyi fogyasztóvédelemnek van egy posztja arról, mit kell ilyenkor tenni. Ezeket a típusú csalásokat a PayPal és a Klarna nevéhez kötik. Adnak egy jogi sablont is, amivel elvileg „lerázható” a behajtó. Was tun, wenn Kriminelle in Ihrem Namen einkaufen? | Verbraucherzentrale.de

Az igazi megoldás, ha a bankszámlán tiltva van a PayPal, mert ilyenkor nem fut le az átutalási megbízás. Sajnos a SEPA övezetben az alapbeállítás, legalábbis Németországban biztosan, hogy minden beszedési megbízás engedélyezett. Nem minden banknál van teljes tiltás és egyedi engedélyezés. Ezért a PayPalt szerintem mindenképp tiltani kell (Gläubiger-ID: LU96ZZZ0000000000000000058).

Ez az átverés teljesen független a PayPal profiltól! Teljesen mindegy, hogy használod, nem használod, erős jelszó vagy gyenge. PayPal saját profilos átverések is léteznek, de a fent említettnél az európai SEPA övezetben elég egy név és IBAN. Bárkit érinthet, akinek EUR - SEPA övezetbeli számlája van. Mi több, egyik jóbarátom épp jelezte, hogy nála is megjelent egy PayPal-os tartós beszedési megbízás, szintén Németország. Ő már ismerte a sztorit, és gyorsan letiltotta a PayPalt a bankszámlájáról. De annyira nem lehet ritka az ügy..